Para monitorar o tráfego da rede, como análise de comportamento on -line do usuário, monitoramento anormal de tráfego e monitoramento de aplicativos de rede, você precisa coletar tráfego de rede. A captura de tráfego de rede pode ser imprecisa. De fato, você precisa copiar o tráfego de rede atual e enviá -lo para o dispositivo de monitoramento. Divisor de rede, também conhecido como TAP de rede. É apenas esse trabalho. Vamos dar uma olhada na definição de Tap Network:
I. Uma torneira de rede é um dispositivo de hardware que fornece uma maneira de acessar os dados que fluem em uma rede de computadores. (Da Wikipedia)
Ii. UMTap de rede, também conhecido como porta de acesso a testes, é um dispositivo de hardware que se conecta diretamente em um cabo de rede e envia uma comunicação de rede para outros dispositivos. Os divisores de rede são comumente usados em sistemas de detecção de intrusão de rede (IPS), detectores de rede e perfiladores. A replicação da comunicação aos dispositivos de rede agora é normalmente feita através de um analisador de porta de comutação (porta Span), também conhecida como espelhamento de porta na comutação de rede.
Iii. As torneiras de rede são usadas para criar portas de acesso permanente para monitoramento passivo. Uma porta de acesso ou acesso a testes pode ser configurada entre dois dispositivos de rede, como interruptores, roteadores e firewalls. Ele pode funcionar como uma porta de acesso para o dispositivo de monitoramento usado para coletar dados em linha, incluindo sistema de detecção de intrusões, sistema de prevenção de intrusões implantado no modo passivo, analisadores de protocolo e ferramentas de monitoramento remoto. (da Netoptics).
A partir das três definições acima, podemos basicamente desenhar várias características da rede Tap: Hardware, embutido, transparente
Aqui está uma olhada nesses recursos:
1. É uma peça de hardware independente e, por causa disso, não tem impacto na carga de dispositivos de rede existentes, que têm grandes vantagens sobre o espelhamento da porta
2. É um dispositivo em linha. Simplificando, ele precisa ser conectado à rede, que pode ser entendida. No entanto, isso também tem a desvantagem de introduzir um ponto de falha e, por ser um dispositivo on -line, a rede atual precisa ser interrompida no tempo de implantação, dependendo de onde é implantado.
3. Transparente refere -se ao ponteiro da rede atual. Access networks after shunt, the current network for all the equipment, does not have any effect, for them is completely transparent, of course, it also contains network shunt send traffic to monitor equipment, the monitoring device for network is transparent, it is as if you are in a new access to a new electrical outlet, for other existing appliances, Nothing happens, including when you finally remove the appliance and suddenly remember the poem, "Wave your sleeve and not a cloud"......
Muitas pessoas estão familiarizadas com o espelhamento do porto. Sim, o espelhamento da porta também pode alcançar o mesmo efeito. Aqui está uma comparação entre torneiras de rede/desviadores e espelhamento de porta:
1. Como a porta do interruptor filtrará alguns pacotes e pacotes de erro com tamanho muito pequeno, o espelhamento da porta não pode garantir que todo o tráfego possa ser obtido. No entanto, o Shunter garante a integridade dos dados porque é completamente "copiado" na camada física
2. Em termos de desempenho em tempo real, em alguns interruptores de baixo custo, o espelho da porta pode introduzir atrasos quando copia o tráfego para espelhar portas e também apresenta atrasos quando copia portas de 10/100m para as portas giga
3. O espelhamento da porta exige que a largura de banda de uma porta espelhada seja maior ou igual à soma das larguras de banda de todas as portas espelhadas. No entanto, esse requisito pode não ser atendido por todos os interruptores
4. O espelhamento da porta precisa ser configurado no interruptor. Uma vez que as áreas a serem monitoradas precisam ser ajustadas, o comutador precisa ser reconfigurado.
Hora de postagem: agosto-05-2022
